KEAMANAN SISTEM INFORMASI

SAP 5

1. KEAMANAN SISTEM INFORMASI

Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang
bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem
keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras,
database, prosedur, dan pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem
dan pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan di database,
dan digunakan untuk menghasilkan laporan.
Siklus hidup sistem keamanan informasi : Sistem keamanan elektronik merupakan
sebuah sistem informasi. Oleh karena itu pengembangan sistem keamanan juga perlu
mengacu pada pendekatan siklus hidup sistem. Sistem keamanan komputer dikembangkan
dengan menerapkan metode analisis, desain, implementasi, serta operasi, evaluasi dan
pengendalian.
Sistem keamanan informasi dalam organisasi : Agar sistem keamanan informasi bisa
efektif, ia harus dikelola oleh Chief Security Officer (CSO). Tugas utama CSO adalah
memberikan laporan kepada dewan direksi untuk mendapatkan persetujuan dewan direksi.
Menganalisis kerentanan dan Ancaman : Ada dua jenis pendekatan dasar untuk
menganalisis kerentanan dan ancaman sistem pendekatan kuantitatif untuk menaksir resiko
dan pendekatan kualitatif
2. KERENTANAN DAN ANCAMAN
Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan
suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman
yaitu aktif dan pasif. Ancaman aktif mencakup kekurangan sistem informasi dan sabotase
computer. Ancaman pasif mencakup kegagalan sistem, termasuk bencana alam, seperti
gempa bumi, banjir, kebakaran dan angina badai. Kegagalan sistem menggambarkan
kegagalan komponen peralatan system, seperti kegagalan harddisk, matinya aliran listrik,
dan lain sebagainya.
Tingkat keseriusan kecurangan sistem informasi
Kejahatan berbasis computer merupakan bagian dari masalah umum kerah putih.
Statistic menunjukkan bahwa keruian perusahaan terkait dengan kecurangan lebih besar dari
total kerugian akibat suap, perampokan dan pencurian. Banyak Negara memiliki undang-
undang yang ditujukan pada masalah keamanan komputer. Kecurangan manajemen
merupakan kecurangan yang sengaja dilakukan oleh manajemen dengan tujuan untuk
menipu investor dan kreditor melalui pelaporan keuangan yang menyesatkan.
Individu yang dapat menjadi ancaman bagi sistem informasi

1
 Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap
hardware, file data yang sensitif, atau program yang kritis. Tiga kelompok individu yaitu
personel sistem, pengguna dan penyusup memiliki perbedaan kemampuan untuk mengakses
hal-hal tesebut. Personel sistem kerap kali merupakan ancaman potensial terhadap data dan
program yang sensitif. Pengguna henya diberi akses terbatas tetapi mereka masih memiliki
cara untuk melakukan kecurangan. Penyusup tidak diberi akses sama sekali, tetapi mereka
sering kali merupakan orang-orang cerdas yang bisa menimbulkan kerugian yang sangat
besar terhadap perusahaan.
Ancaman aktif pada sistem informasi
Enam metode yang dapat digunakan untuk melakukan kecurangan system informasi
meliputi manipulasi input, perubahan program, perubahan file secara langsung, pencurian
data, sabotase, dan penyalahgunaan atau pencurian sumber daya informasi.
3. SISTEM KEAMANAN SISTEM INFORMASI
Mengendalikan ancaman dapat dicapai dengan menerapkan ukuran-ukuran
keamanan dan perencanaan kontingensi. Ukuran keamanan fokus pada pencegahan dan
pendeteksian ancaman, sedangkan rencana kontingensi fokus pada perbaikan terhadap
akibat dampak suatu ancaman. Sebuah doktrin yang dipercaya dalam keamanan sistem
informasi adalah sebagian ancaman tidak dapat dicegah tanpa pengembangan suatu sistem
yang sangat aman. Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem
pengendalian. Pembangunan lingkungan pengendalian yang bagus tergantung pada delapan
faktor, yaitu: Filosofi Manajemen dan Gaya Operasi; Struktur Organisasi; Dewan Direksi
dan Komitenya; Metode Pembagian Otoritas dan Tanggung Jawab; Aktivitas Pengendalian
Manajemen; Fungsi Audit Internal; Kebijakan dan Praktik Personalia; Pengaruh Eksternal.
Pengendalian ancaman aktif : cara utama untuk mencegah ancaman aktif terkait dengan
kecurangan dan sabotase adalah dengan menerapkan tahap-tahap pengendalian akses.
Pengendalian ancaman pasif : ancaman pasif mencakup masalah seperti kegagalan
perangkat keras dan mati listrik. Pengendalian terhadap ancaman semacam ini dapat berupa
pengendalian preventif maupun korektif.
Keamanan internet : internet menciptakan jendela elektronik bagi dunia luar yang
mengeliminasi semua isolasi fisik sumber daya informasi perusahaan. oleh karena itu,
semua pemisahan lapisan fisik yang terkait dengan pendekatan akses berlapis guna
menciptakan keamanan sistem, tidak sepenuhnya dapat mengamankan sistem informasi
perusahaan.
4. PENGELOLAAN RESIKO BENCANA
Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi. Dalam
suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi banyak
perusahaan asuransi enggan menanggung biaya interupsi bisnis perusahaan besar, khususnya
perusahaan yang tidak memiliki perencanaan pemulihan dari bencana yang mungkin terjadi.
2
 Mencegah Terjadinya Bencana
Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat
suatu bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah:
Bencana alam 30%
Tindakan kejahatan yang terencana 45%
Kesalahan manusia 25%

Perencanaan Kontingensi untuk Mengatasi Bencana

Rencana pemulihan dari bencana harus diimplementasikan pada level tertinggi di
dalam perusahaan. Langkah pertama mengembangkan rencana pemulihan dari
bencana adalah adanya dukungan dari manajemen senior dan penetapan komite
perencanaan. Setelah kedua hal tersebut, rencana pemulihan dari bencana harus
didokumentasikan dengan hati-hati dan disetujui oleh kedua pihak tersebut.
Desain perencanaan pemulihan mencakup tiga komponen utama, yaitu:
a. Menaksir kebutuhan penting perusahaan
b. Daftar prioritas pemulihan dari bencana
c. Strategi dan prosedur pemulihan
Beberapa komponen penting lainnya dalam perencanaan pemulihan bencana, anatara lain:
Pusat respons darurat
Prosedur eskalasi
Menentukan pemrosesan komputer alternative
Biro jasa
Rencana relokasi karyawan
Rencana penggantian karyawan
Perencanaan penyelamatan
Perencanaan pengujian sistem dan pemeliharaan sistem
Referensi : Bodnar, George H. 2004. Sistem Informasi Akuntansi. Yogyakarta: ANDI

Widjajanto, Nugraha, Sistem Infomasi Akuntansi, Penerbit Erlangga, Jakarta, 2001.